รายการตรวจสอบความปลอดภัยของ WordPress – 17 วิธีในการปกป้องไซต์ของคุณ

เผยแพร่แล้ว: 2023-02-06

คุณกำลังค้นหารายการตรวจสอบความปลอดภัยของ WordPress เพื่อรักษาความปลอดภัยไซต์ของคุณหรือไม่? คุณต้องการทราบวิธีปรับปรุงความปลอดภัยของ WordPress หรือไม่?

หากคำตอบของคุณสำหรับคำถามข้างต้นคือใช่ บทความนี้เหมาะสำหรับคุณ

WordPress เป็นหนึ่งในระบบจัดการเนื้อหา (CMS) ที่ดีที่สุดอย่างไม่ต้องสงสัย แต่ก็เป็นความจริงที่ว่าเว็บไซต์ WordPress จำนวนมากประสบปัญหาด้านความปลอดภัย

ดังนั้น ในบทความนี้ เราจึงได้สร้างรายการตรวจสอบความปลอดภัยของ WordPress ที่คุณสามารถนำไปใช้กับไซต์ของคุณเพื่อป้องกันปัญหาดังกล่าวได้

เริ่มกันเลย!

สารบัญ

ทำไมคุณควรให้ความสำคัญกับความปลอดภัยของ WordPress?
17 วิธีในการปรับปรุงความปลอดภัยของ WordPress – รายการตรวจสอบขั้นสูง
- รักษาความปลอดภัยหน้าเข้าสู่ระบบ WordPress ของคุณ
  - 1. ใช้รหัสผ่านที่รัดกุม
  - 2. เปิดใช้งานการตรวจสอบสิทธิ์สองปัจจัย
  - 3. จำกัดความพยายามในการเข้าสู่ระบบ
  - 4. เปลี่ยน URL เข้าสู่ระบบเริ่มต้น
  - 5. เปลี่ยนชื่อผู้ใช้เริ่มต้น - ผู้ดูแลระบบ
- รักษาความปลอดภัยให้กับธีมและปลั๊กอินที่ติดตั้งของคุณ
  - 6. ดาวน์โหลดธีมและปลั๊กอินจากแหล่งที่เชื่อถือได้
  - 7. อัปเดตธีมและปลั๊กอิน
  - 8. ใช้ปลั๊กอินความปลอดภัยของ WordPress
  - 9. ลบธีมและปลั๊กอินที่ไม่ได้ใช้
- รักษาความปลอดภัยแผงการดูแลระบบของคุณ
  - 10. อัปเดตซอฟต์แวร์หลักของ WordPress เป็นประจำ
  - 11. สร้างการสำรองข้อมูลเป็นประจำ
  - 12. เปิดใช้งานไฟร์วอลล์เว็บแอปพลิเคชัน
  - 13. ซ่อนไฟล์ wp-config
  - 14. ให้สิทธิ์การเข้าถึงตามบทบาทของผู้ใช้
  - 15. สแกนเว็บไซต์เป็นประจำ
- รับความปลอดภัยผ่านการโฮสต์
  - 16. เลือกบริการโฮสติ้ง WordPress ที่ปลอดภัย
  - 17. ติดตั้งใบรับรอง SSL
ปัญหาด้านความปลอดภัย WordPress ทั่วไป
- กำลังดุร้ายโจมตี
- การฉีด SQL
- การโจมตี DDoS
- การเขียนสคริปต์ข้ามไซต์ (XSS)
ห่อมันขึ้น!

ทำไมคุณควรให้ความสำคัญกับความปลอดภัยของ WordPress?

WordPress เป็น CMS แบบโอเพ่นซอร์สที่ช่วยให้ทุกคนสามารถใช้ แก้ไข และเผยแพร่ได้ ทุกคนสามารถใช้แพลตฟอร์มและรวมคุณสมบัติหรือฟังก์ชันของบุคคลที่สาม เช่น ธีมและปลั๊กอิน

แต่ความเป็นอิสระนี้ทำให้แพลตฟอร์มมีความเสี่ยงต่อภัยคุกคามความปลอดภัยหลายประการ

ไม่ได้หมายความว่า WordPress ไม่ดีสำหรับการสร้างเว็บไซต์ เป็น CMS ที่ดีที่สุดอย่างไม่ต้องสงสัย

อย่างไรก็ตาม เมื่อคุณสร้างเว็บไซต์ WordPress มีหลายสิ่งที่คุณควรดูแล และความปลอดภัยควรมีความสำคัญสูงสุดของคุณ

ต่อไปนี้เป็นเหตุผลบางประการที่ความปลอดภัยของ WordPress มีความสำคัญ:

เพื่อป้องกันผู้โจมตี: การใช้มาตรการรักษาความปลอดภัยที่ป้องกันความผิดพลาดในไซต์ของคุณจะช่วยยับยั้งผู้โจมตี นั่นเป็นเพราะการกำหนดเป้าหมายไซต์ที่มีช่องโหว่นั้นง่ายกว่าไซต์ที่มีการรักษาความปลอดภัยสูง
เพื่อปกป้องข้อมูลที่ละเอียดอ่อน: การ จัดลำดับความสำคัญของความปลอดภัยของ WordPress ช่วยให้คุณปกป้องข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลส่วนบุคคลของผู้ใช้ รายละเอียดการชำระเงิน ฯลฯ
เพื่อรักษาชื่อเสียงของแบรนด์: การโจมตีด้านความปลอดภัย เช่น การละเมิดข้อมูลทำให้เกิดการหยุดทำงานและลดการรับส่งข้อมูล สิ่งนี้ส่งผลเสียต่อชื่อเสียงของแบรนด์ของคุณในที่สุด
เพื่อป้องกันการสูญเสียทางการเงิน: การโจมตีด้านความปลอดภัยอาจส่งผลให้เกิดการสูญเสียทางการเงิน เนื่องจากคุณอาจต้องสำรองค่าใช้จ่ายในการกู้คืนไซต์และค่าธรรมเนียมทางกฎหมาย

แต่การปกป้องไซต์ของคุณจากการโจมตีทางไซเบอร์ก็เป็นเรื่องง่ายเช่นกัน

คุณไม่จำเป็นต้องเขียนโค้ดหรือความรู้ด้านเทคนิคมากมาย คุณเพียงแค่ต้องรู้ว่าคุณสามารถทำอะไรได้บ้างและนำความรู้นั้นไปใช้ในไซต์ของคุณ

ดังนั้น มาดูคู่มือความปลอดภัย WordPress ที่ช่วยปรับปรุงความปลอดภัยของไซต์ของคุณกันดีกว่า

17 วิธีในการปรับปรุงความปลอดภัยของ WordPress – รายการตรวจสอบขั้นสูง

ต่อไปนี้เป็นเคล็ดลับ 17 ข้อที่คุณนำไปใช้ได้เพื่อรักษาความปลอดภัยหน้าเข้าสู่ระบบ ธีมและปลั๊กอินที่ติดตั้ง แผงการดูแลระบบ และอื่นๆ

รักษาความปลอดภัยหน้าเข้าสู่ระบบ WordPress ของคุณ

1. ใช้รหัสผ่านที่รัดกุม

เพื่อรักษาความปลอดภัยหน้าเข้าสู่ระบบ WordPress ของคุณ คุณควรใช้รหัสผ่านที่ไม่มีใครคาดเดาได้เสมอ รูปแบบของรหัสผ่านควรไม่ซ้ำกัน

ตามข้อมูลจาก NordPass รหัสผ่านที่พบบ่อยที่สุดคือ “รหัสผ่าน” รหัสผ่านดังกล่าวเดาได้ง่ายและทำให้เว็บไซต์ของคุณเสี่ยงต่อการถูกโจมตี

ดังนั้น ใช้รหัสผ่านที่มีอักขระอย่างน้อย 12 ตัว นอกจากนี้ รหัสผ่านของคุณควรมีทั้งตัวอักษรพิมพ์ใหญ่และพิมพ์เล็กผสมกัน ตัวเลขบางตัว และอักขระพิเศษ

คุณยังสามารถใช้ตัวสร้างรหัสผ่านเช่น Delinea เพื่อสร้างรหัสผ่านที่รัดกุมสำหรับคุณ

ในขณะเดียวกัน การเปลี่ยนรหัสผ่านเป็นประจำก็จะช่วยได้เช่นกัน

2. เปิดใช้งานการตรวจสอบสิทธิ์สองปัจจัย

การเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยเปรียบเสมือนการเพิ่มความปลอดภัยอีกชั้นหนึ่ง

การตรวจสอบสิทธิ์ครั้งแรกคือชื่อผู้ใช้และรหัสผ่านของคุณ ในขณะที่การตรวจสอบครั้งที่สองจะใช้แอปหรืออุปกรณ์แยกต่างหาก

ตัวอย่างเช่น คุณสามารถตั้งค่าอีเมลหรือหมายเลขโทรศัพท์ของคุณสำหรับการรับรองความถูกต้องครั้งที่สอง จากนั้นจะตรวจสอบผู้ใช้ขณะเข้าสู่ระบบโดยส่งรหัสความปลอดภัยไปยังโทรศัพท์หรืออีเมล

ผู้ใช้สามารถเข้าสู่ระบบได้หากป้อนรหัสเดียวกันเท่านั้น ในการทำเช่นนั้น คุณต้องติดตั้งและเปิดใช้งานปลั๊กอินที่เพิ่มฟังก์ชันการตรวจสอบสิทธิ์แบบสองปัจจัย

ตัวอย่างของปลั๊กอินดังกล่าว ได้แก่ Two-Factor, Two Factor Authentication เป็นต้น

3. จำกัดความพยายามในการเข้าสู่ระบบ

เมื่อคุณตั้งค่าขีดจำกัดสำหรับการพยายามเข้าสู่ระบบ ผู้โจมตีจะถูกห้ามไม่ให้ลงชื่อเข้าใช้ไซต์ WordPress ของคุณหลังจากเกินขีดจำกัด

พวกเขาไม่สามารถป้อนชื่อผู้ใช้และรหัสผ่านโดยการเดาหลายครั้งอีกต่อไป นอกจากนี้ยังป้องกันการโจมตีแบบเดรัจฉาน ซึ่งเป็นหนึ่งในวิธีที่ง่ายที่สุดในการโจมตีเว็บไซต์ใดๆ

เราจะพูดถึงเพิ่มเติมเกี่ยวกับการโจมตีด้วยกำลังดุร้ายในหัวข้อถัดไป

เมื่อแฮ็กเกอร์หรือผู้โจมตีล้มเหลวในการเข้าสู่ระบบโดยพยายามหลายครั้ง พวกเขาจะย้ายไปยังไซต์อื่นที่มีช่องโหว่ นอกจากนี้ พวกเขาจะถูกบล็อกหลังจากป้อนรหัสผ่านไม่ถูกต้อง

หากต้องการจำกัดความพยายามในการเข้าสู่ระบบ คุณสามารถใช้ปลั๊กอินเช่น Limit Login Attempts Reloaded ซึ่งมีฟังก์ชันการทำงาน

4. เปลี่ยน URL เข้าสู่ระบบเริ่มต้น

หนึ่งในวิธีที่ง่ายที่สุดสำหรับผู้โจมตีในการโจมตีไซต์ WordPress ของคุณคือผ่าน URL เข้าสู่ระบบ ง่ายต่อการค้นหา URL เข้าสู่ระบบ WordPress เริ่มต้นหากคุณยังไม่ได้เปลี่ยน

URL เข้าสู่ระบบเริ่มต้นสำหรับเว็บไซต์ WordPress คือ ชื่อโดเมน/wp-login หรือ ชื่อโดเมน/wp-admin

ตัวอย่างเช่น URL เข้าสู่ระบบของเว็บไซต์ example.com คือ www.example.com/wp-admin

ดังนั้น คุณควรเปลี่ยน URL ของหน้าเข้าสู่ระบบและใช้ URL เข้าสู่ระบบที่กำหนดเอง URL เข้าสู่ระบบที่ไม่ซ้ำกันนั้นหาได้ยากสำหรับผู้โจมตี

คุณสามารถใช้ปลั๊กอินการลงทะเบียนผู้ใช้เพื่อเปลี่ยน URL เข้าสู่ระบบเริ่มต้น

5. เปลี่ยนชื่อผู้ใช้เริ่มต้น - ผู้ดูแลระบบ

ชื่อผู้ใช้เช่นผู้ดูแลระบบและผู้ดูแลระบบเป็นชื่อทั่วไปและคาดเดาได้ง่าย ดังนั้นคุณควรเปลี่ยนชื่อผู้ใช้จากผู้ดูแลระบบเป็นชื่อเฉพาะเพื่อไม่ให้ใครสามารถถอดรหัสได้

การใช้ที่อยู่อีเมลเพื่อเข้าสู่ระบบนั้นดีกว่าชื่อผู้ใช้

WordPress ไม่อนุญาตให้เปลี่ยนชื่อผู้ใช้เป็นค่าเริ่มต้น แต่คุณสามารถเปลี่ยนชื่อผู้ใช้ได้โดยสร้างผู้ดูแลระบบใหม่และลบชื่อผู้ใช้เก่าออก

คุณสามารถสร้างผู้ใช้ใหม่ได้โดยไปที่ Users >> Add New และให้บทบาทเป็น Administrator

คุณยังสามารถใช้ปลั๊กอินเปลี่ยนชื่อผู้ใช้ เช่น Easy Username Updater หรืออัปเดตชื่อผู้ใช้จาก phpMyAdmin

รักษาความปลอดภัยให้กับธีมและปลั๊กอินที่ติดตั้งของคุณ

6. ดาวน์โหลดธีมและปลั๊กอินจากแหล่งที่เชื่อถือได้

WordPress มีปลั๊กอินและธีมที่น่าทึ่งมากมายเพื่อเพิ่มฟังก์ชันพิเศษให้กับไซต์ของคุณ แต่จะดีที่สุดถ้าคุณระมัดระวังในการเลือกธีมและปลั๊กอินเหล่านั้น

หากต้องการใช้ธีมและปลั๊กอินฟรี ให้ดาวน์โหลดจากที่เก็บ WordPress เสมอ นอกจากนี้ เลือกธีมหรือปลั๊กอินโดยดูที่บทวิจารณ์ของผู้ใช้

และสำหรับธีมและปลั๊กอินพรีเมียม คุณควรซื้อจากเว็บไซต์ทางการของธีมและปลั๊กอินนั้น ๆ

ตัวอย่างเช่น คุณสามารถซื้อธีม WordPress รุ่นพรีเมียม – Zakra ได้จากเว็บไซต์ทางการ zakratheme.com

หรือคุณสามารถซื้อธีมจากตลาดที่มีชื่อเสียง เช่น ThemeForest ของ Envato

นอกจากนี้ คุณยังสามารถซ่อนรายละเอียดของธีมที่คุณใช้บนไซต์ WordPress เพื่อความปลอดภัยเพิ่มเติม

7. อัปเดตธีมและปลั๊กอิน

เนื่องจาก WordPress อัปเดตแกนหลักอย่างสม่ำเสมอ ธีมและปลั๊กอินของบุคคลที่สามจึงออกการอัปเดตบ่อยครั้งเช่นกัน

ดังนั้นคุณควรอัปเดตทันทีที่ได้รับการแจ้งเตือนเกี่ยวกับเวอร์ชันใหม่ ในเวอร์ชันใหม่ทั้งหมด ธีมและปลั๊กอินจะแก้ไขจุดบกพร่องและช่องว่างด้านความปลอดภัย

นอกจากนี้ยังสามารถใช้งานร่วมกับ WordPress เวอร์ชันที่เพิ่งเปิดตัวได้อีกด้วย

ในการตรวจสอบว่าคุณมีธีมและปลั๊กอินเวอร์ชันล่าสุดหรือไม่ คุณสามารถไปที่ อัปเดต บนแดชบอร์ดของคุณ

นอกจากนี้ ธีมและปลั๊กอินที่ไม่ได้รับการอัพเดตเป็นเวลานานเกินไปยังก่อให้เกิดความเสี่ยงด้านความปลอดภัยสำหรับไซต์ของคุณ ดังนั้น ให้เปลี่ยนธีมและปลั๊กอินทันทีหากไม่ได้อัปเดตอีกต่อไป

คุณยังสามารถอ่านบทความเกี่ยวกับการอัปเดต WordPress, ธีม และปลั๊กอินเป็นเวอร์ชันล่าสุดได้อีกด้วย

8. ใช้ปลั๊กอินความปลอดภัยของ WordPress

สิ่งสำคัญอีกอย่างที่คุณควรทำเพื่อรักษาความปลอดภัยให้กับไซต์ของคุณคือการใช้ปลั๊กอินความปลอดภัย

มีปลั๊กอินความปลอดภัยมากมายที่สร้างขึ้นเพื่อดูแลความปลอดภัยของเว็บไซต์ WordPress ค้นหาปลั๊กอินความปลอดภัยที่เชื่อถือได้และติดตั้งบนเว็บไซต์ของคุณ

ในขณะเดียวกัน คุณควรเลือกปลั๊กอินความปลอดภัยที่ทันสมัย ตรวจสอบแล้ว และปลอดภัย เช่น Sucuri Security ที่สามารถป้องกันการโจมตี WordPress ที่อาจเกิดขึ้นได้

เรายังมีรายการปลั๊กอินความปลอดภัยที่ยอดเยี่ยมที่คุณสามารถอ้างถึงได้

9. ลบธีมและปลั๊กอินที่ไม่ได้ใช้

หลังจากใช้งานเว็บไซต์ WordPress เป็นเวลาหลายปีหรือหลายเดือน คุณอาจได้ลองและทดสอบธีมและปลั๊กอินมากมาย

และมีความเป็นไปได้สูงที่คุณอาจไม่ได้ลบธีมและปลั๊กอินที่ไม่ได้ใช้ดังที่แสดงในภาพด้านล่าง ธีมทั้งหมดยกเว้น Zakra เป็นธีมที่ไม่ได้ใช้งาน

แต่คุณควรทราบว่าธีมและปลั๊กอินที่ไม่ได้ใช้ของคุณมีความเสี่ยงต่อภัยคุกคามด้านความปลอดภัย

เนื่องจากพวกมันยังคงอยู่ในไซต์ของคุณโดยไม่มีการอัปเดตใด ๆ จึงสามารถเชิญมัลแวร์อื่น ๆ มายังไซต์ของคุณได้ ดังนั้น ตรวจสอบให้แน่ใจว่าคุณลบธีมและปลั๊กอินที่ไม่ได้ใช้งานออกจากเว็บไซต์ของคุณ

ต่อไปนี้เป็นคำแนะนำฉบับเต็มเกี่ยวกับการลบธีมที่ไม่ได้ใช้ ซึ่งคุณสามารถทำตามได้

รักษาความปลอดภัยแผงการดูแลระบบของคุณ

10. อัปเดตซอฟต์แวร์หลักของ WordPress เป็นประจำ

WordPress นำการแก้ไขข้อบกพร่องและปัญหาที่เกี่ยวข้องกับความปลอดภัยมาใช้ในการอัปเดตแต่ละครั้ง การไม่อัปเดต WordPress หลักหมายถึงการเชิญผู้โจมตี

แต่ไม่ต้องกังวล! มันง่ายสุด ๆ ในการอัปเดต WordPress core ด้วยการคลิกเพียงครั้งเดียว เพื่อความสะดวกของคุณ WordPress จะแจ้งให้คุณทราบทุกการอัปเดตที่สำคัญบนแดชบอร์ดของคุณ

ดังนั้น อัปเดต WordPress ของคุณให้ทันสมัยอยู่เสมอเพื่อป้องกันการโจมตีใดๆ อย่างไรก็ตาม โปรดสร้างการสำรองข้อมูลเว็บไซต์ก่อนที่จะอัปเดต WordPress หลัก

11. สร้างการสำรองข้อมูลเป็นประจำ

การสร้างข้อมูลสำรองของเว็บไซต์ทั้งหมดจะช่วยกู้คืนเว็บไซต์ของคุณในกรณีที่ถูกโจมตีด้านความปลอดภัย ด้วยวิธีนี้ คุณจะไม่สูญเสียข้อมูลสำคัญใดๆ เนื่องจากการละเมิดความปลอดภัย

นอกจากนี้ อาจเป็นประโยชน์อย่างมากในภายหลังหากคุณทำการเปลี่ยนแปลงบางอย่างในเว็บไซต์ของคุณโดยไม่ได้ตั้งใจ

นอกจากเว็บไซต์แล้ว คุณควรสร้างข้อมูลสำรองของฐานข้อมูลของคุณด้วย

ข่าวดีก็คือไม่ต้องเสียเวลาสำรองไซต์ของคุณ คุณสามารถติดตั้งปลั๊กอินสำรองเช่น UpdraftPlus ซึ่งจะจัดการส่วนที่เหลือ

นี่คือรายการปลั๊กอินสำรองทั้งหมดที่คุณสามารถเลือกได้

12. เปิดใช้งานไฟร์วอลล์เว็บแอปพลิเคชัน

ไฟร์วอลล์ของเว็บแอปพลิเคชัน (WAF) สามารถบล็อกการเข้าชมเว็บที่เป็นอันตรายทั้งหมดก่อนที่จะเข้าถึงเว็บไซต์ของคุณ

ตรวจสอบและกรองทราฟฟิกขาเข้าและขาออกระหว่างอินเทอร์เน็ตและเว็บแอปพลิเคชัน WAF อนุญาตให้ส่งทราฟฟิกของแท้ไปยังเว็บเซิร์ฟเวอร์ของคุณเท่านั้น

ดังนั้นจึงปกป้องเว็บแอปพลิเคชันจากการโจมตี เช่น การเขียนสคริปต์ข้ามไซต์ (XSS) การแทรก SQL เป็นต้น

หากต้องการเปิดใช้งาน WAF คุณสามารถติดตั้งปลั๊กอิน WordPress เพื่อความปลอดภัยที่ดี เช่น Wordfence, Sucuri Security และ Cloudflare

13. ซ่อนไฟล์ wp-config

ไฟล์ wp-config ประกอบด้วยข้อมูลทั้งหมดที่เกี่ยวข้องกับการกำหนดค่าของไซต์ WordPress

มีพารามิเตอร์เชื่อมต่อกับฐานข้อมูล คีย์ความปลอดภัย รหัสผ่าน และอื่นๆ อีกมากมาย หากผู้โจมตีเข้าถึงไฟล์นี้จากเว็บไซต์ของคุณ อาจทำให้เกิดปัญหาร้ายแรงได้

ดังนั้น คุณควรซ่อนไฟล์ wp-config จากผู้โจมตี

ตามค่าเริ่มต้น ไฟล์ wp-config จะอยู่ในโฟลเดอร์ public_html ดังนั้น คุณเพียงแค่เปลี่ยนตำแหน่งของไฟล์

14. ให้สิทธิ์การเข้าถึงตามบทบาทของผู้ใช้

WordPress มีคุณสมบัติในการกำหนดบทบาทของผู้ใช้ ตามค่าเริ่มต้น บทบาทของผู้ใช้ 5 คนใน WordPress พร้อมสิทธิพิเศษเฉพาะ

ดังนั้น คุณควรให้สิทธิ์ผู้ใช้ในการเข้าถึงเว็บไซต์ของคุณตามบทบาทของพวกเขา

ตัวอย่างเช่น หากคุณมีทีมบล็อก ให้มอบบทบาทผู้เขียนหรือบรรณาธิการในการเผยแพร่ แก้ไข และอัปเดตบทความเท่านั้น พวกเขาไม่ต้องการสิทธิ์ของผู้ดูแลระบบ

การบริหารเป็นหนึ่งในบทบาทที่สำคัญที่สุด และคุณควรแจกจ่ายให้กับผู้ที่ต้องการเท่านั้น

15. สแกนเว็บไซต์เป็นประจำ

อย่างที่ทราบกันดีว่าการป้องกันย่อมดีกว่าการรักษา ดังนั้นคุณควรสแกนเว็บไซต์ของคุณเป็นประจำ สิ่งนี้ทำให้มั่นใจได้ว่าไซต์ของคุณปลอดภัยจากมัลแวร์

เลือกจากรายการปลั๊กอินความปลอดภัยที่ดีที่สุดของเรา และติดตั้งปลั๊กอินใดก็ได้บนไซต์ของคุณ แม้ว่าจะตรวจพบมัลแวร์บางตัว คุณก็สามารถลบออกได้ทันเวลา

ปลั๊กอินเช่น Jetpack สามารถตรวจจับการเปลี่ยนแปลงในไฟล์ของคุณโดยอัตโนมัติ ค้นหาพฤติกรรมที่เป็นอันตราย และปกป้องไซต์ของคุณ

พวกเขายังแจ้งให้คุณทราบเกี่ยวกับปัญหาร้ายแรง ตรวจสอบการหยุดทำงาน และแก้ไขภัยคุกคามทั่วไปโดยอัตโนมัติ

รับความปลอดภัยผ่านการโฮสต์

16. เลือกบริการโฮสติ้ง WordPress ที่ปลอดภัย

บริการโฮสติ้งที่คุณซื้อคือบ้านของเว็บไซต์ของคุณ ดังนั้นคุณต้องมีสติอย่างมากในการเลือกใช้บริการโฮสติ้ง

พวกเขาควรให้การรักษาความปลอดภัยที่เข้มงวดและในขณะเดียวกันก็สนับสนุน HTTPS ให้ใบรับรอง SSL และจัดการการสำรองข้อมูล

ผู้ให้บริการเว็บโฮสติ้งหลายราย เช่น Bluehost และ Hostinger ให้บริการโซลูชั่นที่สมบูรณ์สำหรับการโฮสต์ไซต์ WordPress ของคุณ

17. ติดตั้งใบรับรอง SSL

SSL (Secure Sockets Layer) หรือ TLS (Transport Layer Security) เป็นโปรโตคอลสำหรับสร้างลิงก์ที่เข้ารหัสและรับรองความถูกต้องระหว่างเครือข่ายคอมพิวเตอร์

ช่วยให้มั่นใจได้ถึงการถ่ายโอนข้อมูลสำคัญทั่วทั้งไซต์และเบราว์เซอร์ของคุณอย่างปลอดภัย ใบรับรอง SSL ให้คู่คีย์การเข้ารหัสที่ประกอบด้วยคีย์สาธารณะและคีย์ส่วนตัว

รหัสสาธารณะช่วยให้เว็บเบราว์เซอร์เริ่มต้นการสื่อสารที่เข้ารหัสกับเว็บเซิร์ฟเวอร์

ในทางกลับกัน คีย์ส่วนตัวจะถูกเก็บไว้บนเซิร์ฟเวอร์และใช้เพื่อลงชื่อหน้าเว็บและเอกสารอื่นๆ แบบดิจิทัล

ผู้ให้บริการโฮสติ้งสำหรับ WordPress มีใบรับรอง SSL ซึ่งจะจัดการขั้นตอนการตั้งค่าให้กับคุณ

หรือคุณสามารถเพิ่มใบรับรอง SSL จากผู้ออกใบรับรอง เช่น Cloudflare และ GoDaddy

ปัญหาด้านความปลอดภัย WordPress ทั่วไป

กำลังดุร้ายโจมตี

การโจมตีแบบเดรัจฉานเป็นหนึ่งในปัญหาด้านความปลอดภัย WordPress ที่พบบ่อยที่สุด ในกรณีของการโจมตีแบบเดรัจฉาน ผู้โจมตีจะพยายามเข้าสู่ระบบหลายครั้งโดยเดารหัสผ่าน

ผู้โจมตีมักจะกำหนดเป้าหมายไปที่หน้าเข้าสู่ระบบของเว็บไซต์และพยายามเข้าถึงโดยไม่ได้รับอนุญาต พวกเขาพยายามเข้าสู่ระบบจนกว่าชื่อผู้ใช้และรหัสผ่านที่คาดเดาจะถูกต้อง

ดังนั้น คุณควรใช้รหัสผ่านที่รัดกุม จำกัดความพยายามในการเข้าสู่ระบบ ใช้การยืนยันตัวตนแบบสองปัจจัย และเปลี่ยน URL เข้าสู่ระบบและชื่อผู้ใช้เริ่มต้น

การฉีด SQL

การฉีด SQL กำหนดเป้าหมายไปที่ฐานข้อมูลของไซต์ WordPress ของคุณ ผู้โจมตีพยายามแทรกข้อความค้นหา SQL ที่เป็นอันตรายลงในฐานข้อมูลเพื่อเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต

เมื่อสคริปต์เหล่านั้นทำงาน ผู้โจมตีสามารถจัดการหรือลบแถวของตารางฐานข้อมูลได้

ในกรณีของ WordPress ผ่านการฉีด SQL ผู้โจมตียังสามารถโจมตีปลั๊กอินและธีมที่โต้ตอบกับฐานข้อมูลของเว็บไซต์

ดังนั้น การอัปเดตปลั๊กอินและธีมเป็นประจำ การใช้ไฟร์วอลล์ และการสร้างการสำรองข้อมูลเว็บไซต์สามารถลดความเสี่ยงของการโจมตีด้วยการฉีด SQL บนไซต์ WordPress ของคุณได้

การโจมตี DDoS

การโจมตี DDoS (Distributed Denial of Service) ทำให้เว็บไซต์หรือเซิร์ฟเวอร์มีปริมาณการรับส่งข้อมูลมากเกินไป เป็นผลให้ผู้ใช้ไม่สามารถเข้าถึงเว็บไซต์ได้

ผู้โจมตีทำการโจมตีโดยสร้างบอทคอมพิวเตอร์เพื่อส่งทราฟฟิกจำนวนมากไปยังเว็บไซต์เป้าหมายในเวลาเดียวกัน

เพื่อป้องกันการโจมตีดังกล่าว ให้ใช้เครือข่ายการส่งเนื้อหา (CDN) เช่น Cloudflare เพื่อกระจายทราฟฟิกขาเข้าและไฟร์วอลล์ของเว็บแอปพลิเคชัน

คุณยังสามารถตรวจสอบปริมาณการใช้เครือข่ายของไซต์ของคุณเป็นประจำและใช้บริการโฮสติ้งที่ปลอดภัย

การเขียนสคริปต์ข้ามไซต์ (XSS)

Cross-Site Scripting (XSS) เป็นการโจมตีทางไซเบอร์อีกประเภทหนึ่งซึ่งผู้โจมตีพยายามแทรกโค้ดปฏิบัติการหรือสคริปต์ที่เป็นอันตรายลงในเว็บไซต์

ผู้โจมตีสามารถทำการโจมตี XSS ผ่านเนื้อหาที่ผู้ใช้สร้างขึ้น เช่น ความคิดเห็น แบบฟอร์มการติดต่อ หรือการส่งแบบฟอร์มการลงทะเบียนของผู้ใช้

ดังนั้น คุณควรตรวจสอบการป้อนข้อมูลของผู้ใช้เสมอ และใช้ปลั๊กอินแบบฟอร์มการติดต่อที่ปลอดภัย เช่น แบบฟอร์ม Everest และปลั๊กอินการลงทะเบียนผู้ใช้ เช่น การลงทะเบียนผู้ใช้

นอกจากนั้น คุณควรปฏิบัติตามมาตรการรักษาความปลอดภัยอื่นๆ ด้วย

ห่อมันขึ้น!

นั่นคือทั้งหมดจากเราในรายการตรวจสอบความปลอดภัยของ WordPress เราหวังว่าคุณจะสนุกกับการอ่านบทความและเข้าใจวิธีปรับปรุงความปลอดภัยของ WordPress

กล่าวโดยย่อ ความปลอดภัยของเว็บไซต์ WordPress ของคุณควรเป็นสิ่งสำคัญอันดับแรกเสมอ มันสามารถปกป้องข้อมูลและสารสนเทศของคุณและรักษาความสมบูรณ์ของไซต์ของคุณ

ดังนั้น เมื่อทำตามรายการตรวจสอบความปลอดภัยของ WordPress คุณจะลดความเสี่ยงที่ไซต์ของคุณจะถูกโจมตีได้ เราขอแนะนำให้คุณใช้ผลิตภัณฑ์ของบุคคลที่สามอย่างระมัดระวัง

หากคุณยังมีเวลา คุณสามารถสำรวจหน้าบล็อกของเรา เรามีบทความที่น่าทึ่งซึ่งแนะนำคุณในการลบชื่อธีมออกจากส่วนท้าย เปลี่ยนสีลิงก์ ฯลฯ

ติดตามเราบน Twitter และ Facebook เพื่อรับข่าวสารล่าสุด

ข้อจำกัดความรับผิดชอบ: ลิงก์บางส่วนในโพสต์อาจเป็นลิงก์พันธมิตร ดังนั้นหากคุณซื้ออะไรโดยใช้ลิงก์ เราจะได้รับค่าคอมมิชชันพันธมิตร